2 Індивідуальне завдання

2.1 Аналіз оекомендацій щодо організації доммених структур

Операційні системи Windows традиційно використовували поняття "домену" для логічного об'єднання комп'ютерів, які разом використовують єдину політику безпеки. Домен традиційно виступає в якості основного способу створення областей адміністративної відповідальності. Як правило, кожним доменом управляє окрема група адміністраторів.

З допомогою формування доменної структури можна вирішити такі типи задач:

- Створення областей адміністративної відповідальності. Використовуючи доменну структуру, адміністратор може поділити корпоративну мережу на області (домени), керовані окремо один від одного. Кожен домен управляється своєю групою адміністраторів (адміністратори домену).

- Створення областей дії політики облікових записів. Політика облікових записів визначає правила застосування користувачами облікових записів і зіставлених їм паролів. Зокрема задається довжина пароля, кількість невдалих спроб введення пароля до блокування облікового запису, а також тривалість подібної блокування. Оскільки ці питання вирішуються організаційно на рівні всього домену, даний комплекс заходів прийнято називати політикою облікових записів.

- Розмежування доступу до об'єктів. Кожен домен реалізує власні налаштування безпеки (включаючи ідентифікатори безпеки та списки контролю доступу). Рознесення користувачів в різні домени дозволяє ефективно управляти доступом до важливих ресурсів. З іншого боку, застосування довірчих відносин (trust relationships) дозволяє забезпечити користувачам одного домена доступ до ресурсів інших доменів.

- Створення окремого контексту імен для національних філій. У випадку, якщо компанія має філії, розташовані в інших країнах, може знадобитися створити окремий контекст імен для кожної такої філії. Можна відобразити в імені домену географічне небудь національне місце розташування філії.

- Ізоляція трафіку реплікації. Для розміщення інформації про об'єкти корпоративної мережі використовуються доменні розділи каталогу. Кожному домену відповідає свій розділ каталогу, званий доменним. Всі об'єкти, пов'язані з деякого домену, поміщаються у відповідний розділ каталогу. Зміни, вироблені в доменному розділі, реплицируются виключно в межах домену. Відповідно, виділення віддалених філій в окремі домени може дозволити істотно скоротити трафік, спричинений реплікацією змін вмісту каталогу. використовувати домени такого розміру непрактично. Наслідком великого розміру домену є великий розмір копії каталогу. Відповідно, величезної виявляється навантаження на сервери, які є носіями подібної копії. Адміністратор може використовувати домени як засіб регулювання розміру копії каталогу.

Для іменування доменів використовується угоду про доменні імена. Ім'я домену записується у формі повного доменного імені (Fully Qualified Domain Name, FQDN), яке визначає положення домену відносно кореня простору імен. Повне доменне ім'я утворюється з імені домену, до якого додається ім'я батьківського домену. Так, наприклад, для домена kit, що є дочірнім по відношенню до домену khsu.ru, повне доменне ім'я буде записано у формі kit. khsu.ru.

Вибір подібної схеми іменування дозволив формувати доменний простір імен, аналогічне простору імен служби DNS.

Сукупність доменів, що використовують єдину схему каталогу, називається лісом доменів (forest). Строго кажучи, що входять в ліс домени можуть не утворювати "безперервного" простору суміжних імен. Тим не менш, так само як і в разі простору імен DNS, домени Active Directory можуть утворювати безперервне простір імен. У цьому випадку вони зв'язуються між собою відносинами "батько-нащадок". При цьому ім'я дочірнього домену обов'язково включає в себе ім'я батьківського домену. Сукупність доменів, що утворюють безперервний простір суміжних імен, називають деревом доменів (domain tree) (рис. 2.1). Ліс може складатися з довільної кількості дерев домену.

Рис. 2.1.- Дерево і ліс доменів

Перше створене в лісі доменів дерево є кореневим деревом. Кореневе дерево використовується для посилання на ліс доменів. Перший створений в дереві домен називається кореневим доменом дерева (tree root domain), який використовується для посилання на дане дерево. Цілком очевидно, що кореневий домен є визначальним для всього дерева.

Відповідно, перший домен, створений лісі доменів, називається кореневим доменом лісу (forest root domain). Кореневий домен лісу грає дуже важливу роль, пов'язуючи дерева, що утворюють ліс доменів, воєдино і тому не може бути видалений. Зокрема, він зберігає інформацію про конфігурацію лісу і деревах доменів, що його утворюють. Особливу увагу необхідно приділити питанню іменування доменів і, зокрема, кореневого домену. Для кореневого домену краще всього використовувати доменне ім'я другого рівня. Як буде показано нижче і в наступному розділі, саме домени другого рівня використовуються механізмом маршрутизації доменних суфіксів (у разі взаємодії двох лісів доменів).